Das neue Microsoft-Betriebssystem liest in der Standardkonfiguration einige Telemetriedaten ungefragt aus und sendet sie an mehrere Server zur Auswertung. Um das zu verhindern, gibt es eine etablierte Maßnahme – und diese hat noch andere positive “Nebeneffekte”.
Medienberichte: Microsoft und seine Partner “spionieren” Windows-11-User aus
“Windows 11: a spyware machine out of users’ control?”, “How Windows 11 scrapes your data before you’re even connected to the internet”, “Windows 11 Sends Tremendous Amount of User Data to Third Parties” oder “Sammelt Windows 11 wirklich so viele Daten?”: Derartige Schlagzeilen konnte man Mitte Februar auf zahlreichen IT-Websites lesen.
Ein Auslöser für dieses Medienecho war das Video “Has Windows become Spyware?” von The PC Security Channel. Dieses Video zeigt, dass ein im Standard installiertes Windows 11 zahlreiche Daten an Microsoft und mehrere Drittanbieter sendet. Und das bereits nach der Installation, ohne dass Anwender einen Applikation starten müssen!
Ist das Auslesen der Telemetriedaten ungewöhnlich?
Die Tatsache, dass das aktuelle Betriebssystem gerne “nach Hause telefoniert”, ist kein Geheimnis. Windows 11 und auch schon Windows 10 stehen regelmäßig in Verbindung mit Microsoft-Servern, um nach Updates zu suchen oder um Fehlerberichte zu übermitteln. Und Windows 11 und Windows 10 versenden Telemetriedaten, wenn man das nicht unterbindet. Das alles weiß man seit vielen Jahren.
Die aktuellen Medienberichte zeigen, was viele jedoch nicht gedacht haben: Dass ein frisch installiertes Windows 11 zahlreiche Daten an Server schickt, die nicht direkt etwas mit Microsoft zu tun haben. Hinter den “Empfängern” stehen unter anderem Werbenetzwerke und Marktforschungsunternehmen.
Dem Datenabfluss verteidigt ein Microsoft-Pressesprecher mit diesen Worten gegenüber TomsHardware.com:
“As with any modern operating system, users can expect to see data flowing to help them remain secure, up to date, and keep the system working as anticipated.”
Anders ausgedrückt: Wer Windows 11 nutzen möchte, muss eben damit leben, dass Microsoft und andere Unternehmen die User in gewisser Weise ausspionieren und ständig Daten an zahlreiche Server senden – so der Konzern aus Redmond.
Unterbinden Sie die “Datensammelwut” von Windows 11!
Geht Microsoft mit dem Auslesen der Daten den egoistischen Weg eines “bösen Konzerns”? Nein. Auch in der Open-Source-Szene sind Entwickler daran interessiert, mehr über die User und deren Verhalten zu erfahren. So wird gerade die Telemetriedaten-Nutzung der Programmiersprache Go heiß diskutiert.
Diskussion und Empörung hin oder her – was bedeutet das Sammeln von Telemetriedaten für Ihr Unternehmen? Müssen Sie es wirklich hinnehmen, dass Ihre Systeme große Mengen an Daten auslesen und diese teilweise verkauft werden?
Die klare Antwort: Nein, auf keinen Fall! Firmen benötigen eine gesamtheitliche IT-Security-Strategie, die ein ungewolltes Übertragen von Daten unterbindet!
Wie lässt sich Windows 11 entsprechend dem Stand der Technik konfigurieren?
Eine radikale Schutzmöglichkeit wäre, seine Windows-11-Computer nicht ans Netz anzuschließen. Doch: Ein Arbeitsplatz ohne Internet – das macht heutzutage in der Regel wenig Sinn.
Für Privat-Anwender bieten sich Tools wie DoNotSpy11 an. Damit entziehen sie dem Microsoft Betriebssystem an Einzelplatz-Rechnern unter anderem die Möglichkeit, Nutzerdaten fürs Werbetracking zu sammeln. Allerdings ist diese Optionen nicht für Unternehmen geeignet.
Mittelständler und Enterprise-Unternehmen benötigen hier andere Maßnahmen, erst Recht Organisationen im Bereich der kritischen Infrastruktur (KRITIS) oder im stark regulierten Umfeld (Automotive, Versicherungen und Banken, medizinische Versorgung etc.).
Was das Spionieren bzw. das Datensammeln und Übermitteln von Windows 11 wirklich nachhaltig einschränkt, ist die Systemhärtung. Beim “Härten” konfigurieren Sie Ihre Systeme so, dass Microsoft, Google, Werbenetzwerke und andere “Datenkraken” keine relevanten Daten erhalten. Ganz nebenbei reduzieren Sie durch die präventive Maßnahme die Angriffsflächen für Cyber-Attacken.
Hilft Systemhärtung wirklich gegen die versteckte Windows 11 “Spyware”?
Ja, definitiv!
Unsere Spezialisten haben auf Basis eines BSI-Tools die Übermittlung von Telemetriedaten auf Windows 10 und Windows 11 untersucht. Das zusammengefasste Ergebnis sieht so aus:
| Windows 10 ungehärtet | Windows 10 gehärtet | Windows 11 ungehärtet | Windows 11 gehärtet |
|
|---|---|---|---|---|
| Telemetrie-Datenübertragung festgestellt | Ja | Nein | Ja | Nein |
Das ungehärtete Windows 11 sendete in einer Woche rund 450 Datenpakete an Microsoft, das gehärtete System übertrug kein einziges.
Ergänzend zu diesen Erkenntnissen prüfen wir und unsere Partner regelmäßig neue “Offensiv-Tools” gegen ungehärtete und gehärtete Systeme. Bisher ist das Ergebnis beeindruckend: System Hardening stoppt auch Programme wie DefenderSwitch/DefenderStop. Und es schützt vor Mimikatz & Co, wie es dieses Video beweist:
Ist das Abschalten der Windows-Spionage ein “nice to have”?
Ganz klar: Nein!
Diverse Gesetze und Regularien wie DS-GVO, ISO 27001, NIS2, BAIT und B3S fordern bei Unternehmen und Organisationen eine sichere Konfiguration der Systeme. Dementsprechend ist die Härtung und damit das Abschalten von “Spionage-Diensten” kein “nice to have”, sondern ein “must have”!
Auch Versicherer, die sogenannte Cyber-Versicherungen anbieten, sehen Systemhärtung als wichtige Maßnahme an. Wird diese bei Ihnen nachweislich nicht umgesetzt, können deutlich höhere Beiträge die Folge sein. Oder die Versicherung bietet Ihnen erst gar keine Police an.
Das bedeutet: Wenn Ihr Unternehmen Windows 11 einsetzt, ohne das Betriebssystem zu härten, handelt es damit fahrlässig und nicht konform zu zahlreichen Vorgaben, Regularien und Gesetzen!
Wie lässt sich Härtung richtig umsetzen?
Gibt es einen Informationssicherheits- oder Compliance-Beauftragten in Ihrem Unternehmen? Fragen Sie ihn! Er hat in der Regel einen guten Überblick über die aktuellen gesetzlichen und regulatorischen Anforderungen.
Und ermitteln Sie den technischen Ist-Zustand Ihrer Referenzsysteme. Dazu können Sie beispielsweise unser AuditTAP nutzen. Der Bericht und der AuditTAP Risk Score des kostenfreien Tools zeigt Ihnen, wo es noch Nachholbedarf gibt.
Kennen Sie die Schwachstellen, sollten Sie eine professionelle und firmenweite Windows-11-Härtung durchführen. Automatisieren können Sie diesen Vorgang in größeren Infrastruktur-Umgebungen, indem Sie ein Hardening-Tool wie den Enforce Adminstrator einsetzen.
Der Enforce Administrator ermöglicht es, Systemlandschaften mit Hunderten oder gar Tausenden Windows-11-Computern zentral sicher zu konfigurieren. Zudem wird der Status der gehärteten Rechner geprüft. Das heißt: Kommt es zu ungewollten oder versehentlichen Änderungen, werden diese zentral überwacht und relevante Teams informiert.
Benötigen Sie Unterstützung bei der Härtung von Windows 11 und anderen Betriebssystemen? Kontaktieren Sie uns!
